EP3661830A1 - Konzept zum überwachen eines an ein stellwerk eingehenden netzwerkverkehrs - Google Patents

Konzept zum überwachen eines an ein stellwerk eingehenden netzwerkverkehrs

Info

Publication number
EP3661830A1
EP3661830A1 EP18781963.6A EP18781963A EP3661830A1 EP 3661830 A1 EP3661830 A1 EP 3661830A1 EP 18781963 A EP18781963 A EP 18781963A EP 3661830 A1 EP3661830 A1 EP 3661830A1
Authority
EP
European Patent Office
Prior art keywords
network
interlocking
network traffic
incoming
command
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
EP18781963.6A
Other languages
English (en)
French (fr)
Other versions
EP3661830B1 (de
Inventor
Frank Aust
Matthias Seifert
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens Mobility GmbH
Original Assignee
Siemens Mobility GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Mobility GmbH filed Critical Siemens Mobility GmbH
Priority to PL18781963T priority Critical patent/PL3661830T3/pl
Publication of EP3661830A1 publication Critical patent/EP3661830A1/de
Application granted granted Critical
Publication of EP3661830B1 publication Critical patent/EP3661830B1/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L19/00Arrangements for interlocking between points and signals by means of a single interlocking device, e.g. central control
    • B61L19/06Interlocking devices having electrical operation
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L27/00Central railway traffic control systems; Trackside control; Communication systems specially adapted therefor
    • B61L27/20Trackside control of safe travel of vehicle or train, e.g. braking curve calculation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • H04L43/062Generation of reports related to network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/12Network monitoring probes
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L19/00Arrangements for interlocking between points and signals by means of a single interlocking device, e.g. central control
    • B61L19/06Interlocking devices having electrical operation
    • B61L2019/065Interlocking devices having electrical operation with electronic means

Definitions

  • the invention relates to an apparatus and a method for monitoring a network traffic incoming to a signal box of a railway operating installation via a communications network.
  • the invention further relates to a computer program.
  • ⁇ sets In a control center of a railway operating system usually computer workstations for the setting of driving ⁇ roads and to monitor a railway traffic are ⁇ sets.
  • interlocking can be reached, for example, via a communications network.
  • the object underlying the invention is therefore to be seen in an efficient concept for the efficient monitoring of an interlocking a railway operating system via a Communications network to provide incoming network traffic.
  • an apparatus for monitoring network traffic incoming to a railway facility interlocking over a communications network comprising:
  • a network TAP to read the incoming network traffic via the communication network to the interlocking and to output the included incoming network traffic to a processor for checking the included incoming network traffic
  • a network separator for separating the interlocking from the communications network
  • the processor is configured to control the network separation device based on a Er ⁇ result of checking the included incoming network traffic such that the network separation device separates the interlocking of the communication network.
  • a method of monitoring network traffic incoming to a railway facility interlocking over a communications network comprising the following steps:
  • a computer program which contains program code for carrying out the method. rens for monitoring a network traffic incoming to an interlocking of a railway operating system via a communication network, when the computer program is executed on a computer, for example on the device for monitoring network traffic incoming to a signaling system of a railway operating system via a communications network.
  • the invention is based on the finding that the above object is achieved by a network TAP reading the incoming network traffic and outputting it to a processor for checking the incoming network traffic. Depending on a result of the checking, the interlocking is then disconnected from the communication network or not.
  • the use of the network TAP offers the technical advantage that it is invisible in the communication network and therefore can not be recognized and attacked by any attacker.
  • ALG application le- vel gateway
  • the interlocking is separated from the communication network, in particular the technical advantage be ⁇ acts that the interlocking can then no longer be achieved via the communication network ⁇ tion. Attackers can thus no longer attack the signal box via the communication network.
  • the interlocking is advantageously protected against attacks via the communication network efficiently.
  • a network TAP in the sense of the description establishes a passive access point to a network connection, with which the data signals transmitted over the network connection
  • a network TAP is called “network TAP” in English.
  • the abbreviation “TAP” stands for "test access port”.
  • a network TAP in the sense of the description operates on the OSI layer 1 (OSI layer 1) and has no MAC address.
  • the network TAP is thus invisible in the communication network.
  • the network TAP may also be referred to as a passive network TAP insofar as it establishes the passive access point described above.
  • the network TAP may also be referred to as an Ethernet TAP.
  • the processor is designed to check the included incoming network traffic, to check a command stream included in the incoming network traffic for unauthorized commands, and to trigger the network disconnection device in the event of detection of an unauthorized command in such a way that the
  • Network separation device separates the interlocking of the communication network.
  • the processor is designed for checking the command current to compare details of the command current with reference commands of a Ne ⁇ gativkommandoliste to detect unauthorized commands.
  • the negative command list thus forms a so-called "black list”. Commands that are encompassed by the negative command list are therefore illegal commands.
  • a Protokollinri device for logging the read network traffic.
  • the technical advantage for example, that at a later date can be efficiently demonstrated that, for example, unauthorized commands to the Interlocking were sent respectively that the unauthorized commands corresponding unauthorized operations could be success ⁇ rich prevented.
  • the protocol device records the network traffic included, ie stores it.
  • the network TAP is designed to output the provided incoming network traffic to the protocol device.
  • the processor is designed to output the included incoming network traffic to the protocol device.
  • the network separation device is designed to physically separate the interlocking from the communication network. This causes, for example, the technical advantage that an efficient and safe separation of the interlocking from the communication network is effected.
  • the physical disconnect includes physically disconnecting a communication link between the network TAP and the interlocking.
  • the physical disconnection comprises opening a switch which is connected in a communication connection between the communication network and the interlocking, for example between the network TAP and the interlocking.
  • a Gayandoeinspeise worn for feeding a test commands in the Lucas- Henden network traffic in order to test the processor, wherein the processor is configured, upon detection of the test commands as part of checking the mitêten turned ⁇ Henden network traffic no control of the supply disconnecting to perform direction such that the network separation device separates the interlocking of the communication network.
  • this has the technical advantage of enabling efficient testing of the processor.
  • the command injection device is designed to feed the test command at predetermined time intervals.
  • Such a predetermined time interval is selected, for example, depending on the requirements of the application. Examples of play is provided that the test command once per second or once per minute or once an hour a ⁇ is fed. For example, the time interval from ei ⁇ nem official auditor is given.
  • the processor is configured, upon detection of the test command in the context of checking the included incoming network traffic ei ⁇ ne success message to the command input device to send that the test command was detected, the command mandoeinfeise worn is formed, if not a success message after feeding the test command to control the network separation device such that the
  • Network separation device separates the interlocking of the communication network.
  • the technical advantage is caused that an error in the processor, which leads to a non-recognition of the test command, does not have a safety-critical impact. tions to operation of the interlocking. This is because in such a case, ie when a success message remains from ⁇ , the interlocking is separated from the communication network.
  • the network separation means is controlled accordingly by means of the Kirandoeinspeise worn to separate the interlocking of the Kommunikati ⁇ onsnetzwerk, in particular the technical advantages will be in part causes the actuator ⁇ factory yet separated when an error occurs in the processor of the communication network can be .
  • the device is designed to monitor a network traffic incoming to a signal box of a railway operating installation via a communications network, to carry out or carry out the method for monitoring network traffic incoming to a signal box of a railway operating installation via a communications network.
  • a railroad facility includes the interlocking and the apparatus for monitoring network traffic incoming to an interlocking of a railroad facility over a communications network.
  • the method comprises that the reading of the network traffic arriving via the communication network to the controller is carried out by means of the network TAP.
  • the mit arrestede incoming network traffic is output to the pro cessor ⁇ , for example by means of the network TAPs.
  • to check the included incoming network traffic is provided to check a Kirandostrom included in the included incoming network traffic for unauthorized commands and in egg nem detection of unauthorized commands to control the network separation device such that the network separation device separates the interlocking of the communication network.
  • the method provides for checking the command stream that commands the command ⁇ stream with reference commands a negative command list are ver ⁇ adjusted to detect unauthorized commands.
  • the interlocking is physically separated from the communication network by means of the network separation device.
  • a feeding of a test command into the incoming network traffic is provided to test the processor, wherein upon detection of the test command by the processor in the context of testing the included incoming network power, the processor does not control the power disconnecting device such that the network disconnecting device separates the signal box from the communication network.
  • the processor sends a success message to the command injection device upon detection of the test command as part of checking the included incoming network traffic, that the test command has been detected, the command input device, in the absence of a success message after feeding the test command
  • Network separation device controls such that the network separation device separates the interlocking of the communication network.
  • the command injection device is designed, in the absence of the success message after feeding the test command after a predetermined period of time to control the network separation device such that the network separation device separates the interlocking of the communication network.
  • the Wienoeinspeise issued the expiry of predetermined time period waits after feeding the test commands, before the grid separating device is so attached ⁇ controlled that the mains separation device separates the switchboard of the communication network if the success message fails to appear.
  • long wait before it disconnects after the failure of the success message depends on the In ⁇ mentation, that the specific case, from.
  • the network disconnecting device is activated immediately after the expiry of the specific time interval in such a way that the time interval (the predetermined time period) under any possible operating conditions a response should occur
  • Network separator separates the interlocking of the communication network, if the success message fails
  • the interlocking is connected via a VPN router to the communication network or can be connected.
  • a VPN router is provided for a connection of the signal box with the communication network.
  • the control box is connected to the VPN router, for example.
  • the network TAP is connected between the VPN router and the interlocking.
  • a computer of a control center of the railway operating system can be connected via the communication network to the interlocking or is connected.
  • form a computer of a control center of Eisenbahnbe ⁇ operating system.
  • the computer of the control center of the railway operating system is connected to the communication network via a further VPN router or can be connected.
  • another VPN router is provided for a connection of the computer of the control center to the communication network is.
  • the computer is connected to the other VPN router.
  • the communication network comprises the Internet.
  • the communication network comprises a mobile radio network.
  • the computer of the control center according to an exporting ⁇ approximate shape formed as a workstation, for example, as a loading serving workstation.
  • Anlvesge through the computer of the control center of the Eisenbahn serves-, for example, or can for example be specified differently, which state should have the signals of the Eisenbahnbe ⁇ operating system respectively which state res ⁇ pektive position a switch operation of the railway plant ha ⁇ ben should respectively by means of the computer a Travel allowances specified.
  • the possible messages of a signal box include free and busy messages of track subs ⁇ sections and / or flank protection of points.
  • the command flow is transmitted in the form of PDS and / or SBS telegrams.
  • PDS process data interface
  • SBS standard operating interface
  • the command stream is a command stream of one of the following network protocols: SSH, SFTP, SMB.
  • Unauthorized command in the sense of the description is at ⁇ play, a command release.
  • Such a command ⁇ free transfer causes in the switchboard canceling system states respectively overdriving of the interlocking. That means in particular that it is ⁇ enables the command "command enable" to override the signal box to be able to continue, for example, a train service with reduced security, if there were, for example, a fault in the signal box, which has led to a blockade ,
  • command release is the case that although a signal indicates "red", a drive command is issued to the driver or an entrance to a track section is released even though the track section is already indicated as busy Command release, so it will override the security monitoring.
  • an apparatus for monitoring network traffic incoming to an interlocking of a railroad facility via a communications network does not comprise the interlocking.
  • the interlocking is reconnected to the communication network.
  • the further predetermined period of time for example, greater than 1 minute, for example greater than 2 minutes.
  • a KF action must be completed, otherwise it will be recognized as invalid.
  • the network separation device is designed to connect the interlocking again with the communication network after a further predetermined period of time.
  • the processor is designed to control the power disconnecting device after a further predetermined period of time such that this
  • Network separation device is designed to disconnect the interlocking reversibly from the communication network.
  • Network separation device is designed to disconnect the interlocking irreversibly from the communication network.
  • the network separator To connect communication network, for example, the network separator must be replaced.
  • FIG. 3 shows a third apparatus for monitoring a to a signal box operating a railway system via a Kommunikati ⁇ onsnetztechnik incoming network traffic
  • FIG. 4 shows a flowchart of a method for monitoring a network traffic incoming to a signal box of a railway operating installation via a communications network.
  • FIG. 1 shows a first device 101 for monitoring a network traffic incoming to a signal box of a railway operating installation via a communications network.
  • the first device 101 comprises: a network TAP 103 for reading the incoming network traffic to the interlocking via the communication network and for outputting the included incoming network traffic to a processor 105 for checking the incoming network traffic included in the network,
  • a network separator 107 for separating the interlocking from the communication network
  • processor 105 is configured to control the network separator 107 based on a result of checking the included incoming network traffic such that that the network separator 107 separates the interlocking from the communication network.
  • FIG. 1 further shows a signal box 109 of a railway operating system (not shown in further detail), which is connected to a communications network 113 via a VPN router 111.
  • the communication network 113 is, according to one embodiment, the Internet.
  • the 1 shows an operator workstation 115 of a control center not shown here, the Eisenbahnbe ⁇ operating system.
  • the operator workstation 115 is connected to the communication network 113 via a further VPN router 117.
  • VPN router 117 the Internet as a possible communication network
  • the device 101 is installed in accordance ei ⁇ ner embodiment in the local network of a customer and must therefore, for example, not necessarily via the Internet and VPN router to the signal box 109 to be connected.
  • the network TAP 103 is connected between the VPN router 111 and the interlocking 109.
  • the network separator 107 is connected between the network TAP 103 and the interlocking 109.
  • the network TAP 103 reads a command stream, which is sent from the VPN router 111 to the signal box 109, and outputs the read command stream to the processor 105.
  • the Network TAP 103 thus reads the incoming network signal 109 to the network traffic (command stream).
  • the processor 105 checks the command current, which is transmitted egg ner according to the embodiment in the form of PDS and / or SBS telegrams respectively on unauthorized commands respectively uner ⁇ laubte command sequences unauthorized command types, for example a release command. Recognizes the processor 105 such command type respekti ⁇ ve command sequence, respectively, an illegal command, steu ⁇ ert the processor 105, the network separation device 107 in such a way that the grid separation means 107 separates the network connection between the network TAP 103 and the interlocking 109th
  • the signal box 109 is disconnected from the communication network 113.
  • Signaling 109 which assumes responsibility for safety, to be monitored before any change to signals or routes respectively driving permits takes place. This usually applies to all commands except those that are called "command release”. Such commands override the interlocking 109.
  • Signal box 109 are installed, bypassed, which can represent an increased risk in the event of a deliberate or unintentional incorrect operation. This applies, for example, to se especially if such commands or can be triggered by a Fernbedie ⁇ voltage willingly unwillingly.
  • the command stream which is sent, for example, from the operator workstation 115 via the communication network 113 to the interlocking 109, is read and output to the processor 105 for the purpose of checking.
  • the processor 105 may thus check this command current to commands of the type "command ⁇ release" in an advantageous manner and activate the power separator 107 on recognizing such a command.
  • Characterized in particular the technical advantage thus will be ⁇ acts to deliberate or by a correspondingly unin ⁇ schreibte misoperation no increased risk takes place, at least one corresponding risk can be reduced.
  • the fact that the network TAP 103 is not visible in the network, it can not be attacked and optionally disabled.
  • the center may be reached 109 over the communication network 113, which is required for example by customers a ⁇ .
  • additional protection measures required by the new safety legislation will be implemented efficiently.
  • FIG. 2 shows a second device 201 for monitoring a network traffic incoming to a signal box of a railway operating installation via a communications network.
  • the second device 201 is designed substantially analogously to the first device 101 according to FIG.
  • the second device 201 comprises a protocol device 205 for logging the read network traffic.
  • the network TAP 103 is formed so far, bengle- the mitgelese ⁇ NEN network traffic to the protocol device 205th
  • the protocol device 205 By means of the protocol device 205, it is possible in an advantageous manner to be able to prove at a later point in time whether the command stream comprises unauthorized commands.
  • the protocol device 205 is designed to record a separation of the signal box 109 from the communication network 113. Logging includes, for example, a save.
  • FIG. 3 shows a third device 301 for monitoring a network traffic incoming to a signal box of a railway operating installation via a communications network.
  • the third device 301 is designed substantially analogously to the second device 201 according to FIG.
  • the third device 301 also comprises according to FIG 3 a Kom ⁇ mandoeinspeise worn 303 for supplying a test commands in the incoming network traffic to test the processor 105th
  • the processor 105 is then formed, upon detection of the test commands in the frame by the testing ⁇ fens of mitangeen incoming network traffic no actuation of the mains isolating device 107 to carry out such that the mains isolating device 107, the interlocking separates from the communication network engine 113 109th
  • the third device 301 does not include the protocol device 205. According to this embodiment, the third device 301 is then designed substantially analogously to the first device 101 according to FIG. According to this embodiment, the third device 301 then includes the command injection device 303 in addition to the first device 101 shown in FIG.
  • the processor 105 is formed, upon detection of the test commands in Rah ⁇ men of checking the incoming network traffic mitiliaen to send a success message to the Kirandoeinspeise owned 303 that the test command is detected, wherein the Kirandoeinspeise worn 303 is formed, in the absence of a success message after feeding the test commands, in particular in the absence of a success message after feeding the test commands after a réelle ⁇ agreed period of time, for example, a maximum of 3 s, the
  • Net separator 107 separates the interlocking 109 of the communication network 113.
  • an apparatus for monitoring a network traffic incoming to a signal box of a railway operating installation via a communications network comprises the signal box.
  • an apparatus for monitoring network traffic incoming to an interlocking of a railroad facility via a communications network does not comprise the interlocking.
  • FIG. 4 shows a flow chart of a method for surveil a ⁇ chen to a signal box operating a railway system via a communication network incoming network traffic, comprising the steps of:
  • the method shown and described in FIG. 4 is carried out or executed by means of one of the three devices 101, 201, 303.
  • the read-ahead 401 is performed by means of the network TAPs 103.
  • the network TAP 103 for example, outputs the read network traffic to the processor 105.
  • the checking 403 is performed by means of the processor 105, for example.
  • the separation 405 is performed, for example, by means of the Netztrennein ⁇ direction 107.
  • the processor 105 controls the network separator 107 accordingly.
  • the interlocking 109 is connected to the communication network 113 again.
  • the network separation device 107 is formed, after expiry of a predetermined Zeitdau ⁇ he to connect the interlocking 109 again with the communication network 113.
  • the processor is positioned forms ⁇ 105 to connect after a predetermined time period, the positioner 109 to the communication network 113th
  • Net separator 107 is formed to separate the interlocking 109 reversibly from the communication network 113.
  • Net separator 107 is formed to disconnect the interlocking 109 irreversibly from the communication network 113.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mechanical Engineering (AREA)
  • Data Mining & Analysis (AREA)
  • Environmental & Geological Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Train Traffic Observation, Control, And Security (AREA)

Abstract

Konzept zum Überwachen eines an ein Stellwerk eingehenden Netzwerkverkehrs Die Erfindung betrifft eine Vorrichtung zum Überwachen eines an ein Stellwerk einer Eisenbahnbetriebsanlage über ein Kommunikationsnetzwerk eingehenden Netzwerkverkehrs, umfassend: einen Netzwerk-TAP zum Mitlesen des über das Kommunikationsnetzwerk an das Stellwerk eingehenden Netzwerkverkehrs und zum Ausgeben des mitgelesenen eingehenden Netzwerkverkehrs an einen Prozessor zum Prüfen des mitgelesenen eingehenden Netz- werkverkehrs, eine Netztrenneinrichtung zum Trennen des Stellwerks von dem Kommunikationsnetzwerk, wobei der Prozessor ausgebildet ist, basierend auf einem Ergebnis des Prüfens des mitgelesenen eingehenden Netzwerkverkehrs die Netztrenneinrichtung derart anzusteuern, dass die Netztrenneinrichtung das Stellwerk von dem Kommunikationsnetzwerk trennt. Die Erfindung betrifft ferner ein entsprechendes Verfahren sowie ein Computerprogramm.

Description

Beschreibung
Konzept zum Überwachen eines an ein Stellwerk eingehenden NetzWerkverkehrs
Die Erfindung betrifft eine Vorrichtung und ein Verfahren zum Überwachen eines an ein Stellwerk einer Eisenbahnbetriebsanlage über ein Kommunikationsnetzwerk eingehenden Netzwerkverkehrs. Die Erfindung betrifft ferner ein Computerprogramm.
In einem Kontrollzentrum einer Eisenbahnbetriebsanlage werden üblicherweise Computer-Workstations zur Einstellung von Fahr¬ straßen und zur Überwachung eines Eisenbahnverkehrs einge¬ setzt .
Bedienhandlungen, die beispielsweise mittels der Computer- Workstations vorgenommen werden und die sich beispielsweise auf einen Zustand eines Eisenbahnabschnittes auswirken, wer¬ den in der Regel durch ein Stellwerk der Eisenbahnbetriebsan- läge, das für die Sicherheit die Verantwortung übernimmt, überwacht, bevor eine Änderung an Signalen, Fahrstraßen oder Fahrtfreigaben stattfindet.
Da in der Regel die Computer-Workstations und das Stellwerk an verschiedenen Orten sind, sind diese üblicherweise über ein Kommunikationsnetzwerk miteinander verbunden.
Das heißt also, dass das Stellwerk beispielsweise über ein Kommunikationsnetzwerk erreichbar ist.
Es besteht insofern ein Bedarf dafür, das Stellwerk vor einem über das Kommunikationsnetzwerk eingehenden Netzwerkverkehr zu schützen, welcher eine Sicherheit eines Betriebs der Ei¬ senbahnbetriebsanlage gefährden könnte.
Die der Erfindung zugrunde liegende Aufgabe ist daher darin zu sehen, ein effizientes Konzept zum effizienten Überwachen eines an ein Stellwerk einer Eisenbahnbetriebsanlage über ein Kommunikationsnetzwerk eingehenden Netzwerkverkehrs bereitzustellen .
Diese Aufgabe wird mittels des jeweiligen Gegenstands der un- abhängigen Ansprüche gelöst. Vorteilhafte Ausgestaltungen der Erfindung sind Gegenstand von jeweils abhängigen Unteransprü¬ chen .
Nach einem Aspekt wird eine Vorrichtung zum Überwachen eines an ein Stellwerk einer Eisenbahnbetriebsanlage über ein Kommunikationsnetzwerk eingehenden Netzwerkverkehrs bereitgestellt, umfassend:
einen Netzwerk-TAP zum Mitlesen des über das Kommunikationsnetzwerk an das Stellwerk eingehenden Netzwerkverkehrs und zum Ausgeben des mitgelesenen eingehenden Netzwerkverkehrs an einen Prozessor zum Prüfen des mitgelesenen eingehenden Netzwerkverkehrs,
eine Netztrenneinrichtung zum Trennen des Stellwerks von dem Kommunikationsnetzwerk,
wobei der Prozessor ausgebildet ist, basierend auf einem Er¬ gebnis des Prüfens des mitgelesenen eingehenden Netzwerkverkehrs die Netztrenneinrichtung derart anzusteuern, dass die Netztrenneinrichtung das Stellwerk von dem Kommunikationsnetzwerk trennt.
Nach einem anderen Aspekt wird ein Verfahren zum Überwachen eines an ein Stellwerk einer Eisenbahnbetriebsanlage über ein Kommunikationsnetzwerk eingehenden Netzwerkverkehrs bereitgestellt, umfassend die folgenden Schritte:
Mitlesen des über das Kommunikationsnetzwerk an das Stellwerk eingehenden Netzwerkverkehrs,
Prüfen des mitgelesenen eingehenden Netzwerkverkehrs,
Trennen des Stellwerks von dem Kommunikationsnetzwerk basierend auf einem Ergebnis des Prüfens des mitgelesenen einge- henden Netzwerkverkehrs.
Nach einem weiteren Aspekt wird ein Computerprogramm bereitgestellt, welches Programmcode zur Durchführung des Verfah- rens zum Überwachen eines an ein Stellwerk einer Eisenbahnbetriebsanlage über ein Kommunikationsnetzwerk eingehenden Netzwerkverkehrs umfasst, wenn das Computerprogramm auf einem Computer, beispielsweise auf der Vorrichtung zum Überwachen eines an ein Stellwerk einer Eisenbahnbetriebsanlage über ein Kommunikationsnetzwerk eingehenden Netzwerkverkehrs, ausgeführt wird.
Die Erfindung basiert auf der Erkenntnis, dass die obige Auf- gäbe dadurch gelöst wird, dass ein Netzwerk-TAP den eingehenden Netzwerkverkehr mitliest und an einen Prozessor zwecks Prüfen des eingehenden Netzwerkverkehrs ausgibt. Abhängig von einem Ergebnis des Prüfens wird dann das Stellwerk von dem Kommunikationsnetzwerk getrennt oder nicht.
Die Verwendung des Netzwerk-TAPs bietet insbesondere den technischen Vorteil, dass dieser im Kommunikationsnetzwerk unsichtbar ist und somit auch von keinem Angreifer erkannt und angegriffen werden kann.
Weiter weist die Verwendung eines Netzwerk-TAPs den techni¬ schen Vorteil auf, dass ein Mitlesen und insofern ein entsprechendes Prüfen des eingehenden Netzwerkverkehrs fast in Echtzeit ohne erhebliche zeitliche Verzögerung durchgeführt werden kann verglichen mit einem sogenannten "application le- vel gateway (ALG) " . Ein solches application level gateway kann zwar auch einen Netzwerkverkehr überprüfen, erzeugt hierbei aber stets einen erheblichen zeitlichen Versatz und verändert üblicherweise ein ursprünglich vorgesehenes Zeit- verhalten. Der Zeitvorteil hängt beispielsweise vom Umfang der Prüfung ab, die durchgeführt wird. Dies kann bei ALGs oh¬ ne weiteres im Bereich mehrerer Millisekunden bis zu 500 ms liegen, was für eine Forderung nach verzögerungsfreier Übertragung nicht tolerierbar wäre. In einem ALG müssen Daten mehrfach hin- und her kopiert werden und durch den Prozessor geschleust werden, was an sich schon Zeitverluste einbringt. Dann kommt noch die eigentliche „Processing-Time" , also die Verarbeitungszeit durch den Prozessor, hinzu. ALGs sind des¬ halb nicht besonders vorteilhaft.
Dadurch, dass das Stellwerk von dem Kommunikationsnetzwerk getrennt wird, wird insbesondere der technische Vorteil be¬ wirkt, dass das Stellwerk dann nicht mehr über das Kommunika¬ tionsnetzwerk erreicht werden kann. Angreifer können somit das Stellwerk nicht mehr weiter über das Kommunikationsnetzwerk angreifen. Somit ist das Stellwerk in vorteilhafter Wei- se gegen Angriffe über das Kommunikationsnetzwerk effizient geschützt .
Somit wird also weiter insbesondere der technische Vorteil bewirkt, dass der an ein Stellwerk einer Eisenbahnbetriebsan- läge über ein Kommunikationsnetzwerk eingehende Netzwerkverkehr effizient überwacht werden kann.
Ein Netzwerk-TAP im Sinne der Beschreibung stellt einen passiven Zugriffspunkt zu einer Netzwerkverbindung her, womit die über die Netzwerkverbindung übertragenen Datensignale
(also beispielsweise der eingehende Netzwerkverkehr) zu Ana¬ lysezwecken mitgelesen und ausgewertet werden können. Ein Netzwerk-TAP wird im Englischen als "network-TAP" bezeichnet. Die Abkürzung "TAP" steht für "test access port".
Ein Netzwerk-TAP im Sinne der Beschreibung arbeitet auf dem OSI layer 1 (OSI-Schicht 1) und besitzt keine MAC-Adresse. Der Netzwerk-TAP ist somit im Kommunikationsnetzwerk unsicht- bar.
Der Netzwerk-TAP kann insofern auch als ein passiver Netzwerk-TAP bezeichnet werden, insofern er den vorstehend beschriebenen passiven Zugriffspunkt herstellt.
Der Netzwerk-TAP kann beispielsweise auch als ein Ethernet- TAP bezeichnet werden. Gemäß einer Ausführungsform ist vorgesehen, dass der Prozessor zum Prüfen des mitgelesenen eingehenden Netzwerkverkehrs ausgebildet ist, einen vom mitgelesenen eingehenden Netzwerkverkehr umfassten Kommandostrom auf unerlaubte Kommandos zu überprüfen und bei einem Erkennen eines unerlaubten Kommandos die Netztrenneinrichtung derart anzusteuern, dass die
Netztrenneinrichtung das Stellwerk von dem Kommunikationsnetzwerk trennt.
Dadurch wird insbesondere der technische Vorteil bewirkt, dass unerlaubte Kommandos effizient erkannt werden können. Insbesondere wird dadurch der technische Vorteil bewirkt, dass ein effizienter Schutz des Stellwerks vor unerlaubten Kommandos bewirkt werden kann
In einer anderen Ausführungsform ist vorgesehen, dass der Prozessor zum Überprüfen des Kommandostroms ausgebildet ist, Kommandos des Kommandostroms mit Referenzkommandos einer Ne¬ gativkommandoliste zu vergleichen, um unerlaubte Kommandos zu erkennen .
Dadurch wird zum Beispiel der technische Vorteil bewirkt, dass die unerlaubten Kommandos effizient erkannt werden kön¬ nen. Die Negativkommandoliste bildet also eine sogenannte "black list". Kommandos, die von der Negativkommandoliste um- fasst sind, sind also unerlaubte Kommandos.
Durch Anpassen der Negativkommandoliste ist es somit in vor¬ teilhafter Weise ermöglicht, flexibel auf unterschiedliche Bedrohungsszenarien zu reagieren.
Nach einer anderen Ausführungsform ist eine Protokolleinri tung zum Protokollieren des mitgelesenen Netzwerkverkehrs vorgesehen .
Dadurch wird zum Beispiel der technische Vorteil bewirkt, dass zu einem späteren Zeitpunkt effizient nachgewiesen werden kann, dass beispielsweise unerlaubte Kommandos an das Stellwerk gesendet wurden respektive dass den unerlaubten Kommandos entsprechende unerlaubte Bedienhandlungen erfolg¬ reich verhindert werden konnten. Das heißt also insbesondere, dass die Protokolleinrichtung den mitgelesenen Netzwerkverkehr aufzeichnet, also speichert.
Nach einer Ausführungsform ist vorgesehen, dass der Netzwerk- TAP ausgebildet ist, den mitgelesenen eingehenden Netzwerk- verkehr an die Protokolleinrichtung auszugeben.
Gemäß einer weiteren Ausführungsform ist vorgesehen, dass der Prozessor ausgebildet ist, den mitgelesenen eingehenden Netzwerkverkehr an die Protokolleinrichtung auszugeben.
In einer anderen Ausführungsform ist vorgesehen, dass die Netztrenneinrichtung ausgebildet ist, das Stellwerk von dem Kommunikationsnetzwerk physisch zu trennen. Dadurch wird zum Beispiel der technische Vorteil bewirkt, dass eine effiziente und sichere Trennung des Stellwerks von dem Kommunikationsnetzwerk bewirkt ist.
Das physische Trennen umfasst beispielsweise ein physisches Trennen einer Kommunikationsverbindung zwischen dem Netzwerk- TAP und dem Stellwerk.
Beispielsweise umfasst das physische Trennen ein Öffnen eines Schalters, der in einer Kommunikationsverbindung zwischen dem Kommunikationsnetzwerk und dem Stellwerk, beispielsweise zwischen dem Netzwerk-TAP und dem Stellwerk, geschaltet ist.
In einer anderen Ausführungsform ist eine Kommandoeinspeiseeinrichtung zum Einspeisen eines Testkommandos in den einge- henden Netzwerkverkehr vorgesehen, um den Prozessor zu testen, wobei der Prozessor ausgebildet ist, bei Erkennung des Testkommandos im Rahmen des Prüfens des mitgelesenen einge¬ henden Netzwerkverkehrs keine Ansteuerung der Netztrennein- richtung derart durchzuführen, dass die Netztrenneinrichtung das Stellwerk von dem Kommunikationsnetzwerk trennt.
Dadurch wird insbesondere der technische Vorteil bewirkt, dass ein effizientes Testen des Prozessors ermöglicht ist.
Das heißt also insbesondere, dass eine Erkennung des Testkom¬ mandos in dem eingehenden Netzwerkverkehr keine Trennung des Stellwerks von dem Kommunikationsnetzwerk zur Folge hat. In einer Ausführungsform ist vorgesehen, dass die Kommandoeinspeiseeinrichtung ausgebildet ist, das Testkommando in vorbestimmten Zeitintervallen einzuspeisen.
Dadurch wird zum Beispiel der technische Vorteil bewirkt, dass der Prozessor effizient auch über einen längeren Zeitraum getestet werden kann.
Ein solch vorbestimmtes Zeitintervall wird beispielsweise in Abhängigkeit der Anforderungen der Applikation gewählt. Bei- spielsweise ist vorgesehen, dass das Testkommando ein Mal pro Sekunde oder ein Mal pro Minute oder ein Mal pro Stunde ein¬ gespeist wird. Beispielsweise wird das Zeitintervall von ei¬ nem offiziellen Prüfer vorgegeben. In einer Ausführungsform ist vorgesehen, dass der Prozessor ausgebildet ist, bei Erkennung des Testkommandos im Rahmen des Prüfens des mitgelesenen eingehenden Netzwerkverkehrs ei¬ ne Erfolgsnachricht an die Kommandoeinspeiseeinrichtung zu senden, dass das Testkommando erkannt wurde, wobei die Kom- mandoeinspeiseeinrichtung ausgebildet ist, bei Ausbleiben einer Erfolgsnachricht nach Einspeisen des Testkommandos die Netztrenneinrichtung derart anzusteuern, dass die
Netztrenneinrichtung das Stellwerk von dem Kommunikationsnetzwerk trennt.
Dadurch wird zum Beispiel der technische Vorteil bewirkt, dass ein Fehler in dem Prozessor, der zu einem Nicht-Erkennen des Testkommandos führt, keine sicherheitskritischen Auswir- kungen auf einen Betrieb des Stellwerks hat. Dies deshalb, da in einem solchen Fall, also wenn eine Erfolgsnachricht aus¬ bleibt, das Stellwerk von dem Kommunikationsnetzwerk getrennt wird .
Dadurch, dass gemäß dieser Ausführungsform die Netztrenneinrichtung mittels der Kommandoeinspeiseeinrichtung entsprechend angesteuert wird, um das Stellwerk von dem Kommunikati¬ onsnetzwerk zu trennen, wird insbesondere der technische Vor- teil bewirkt, dass bei einem Fehler im Prozessor das Stell¬ werk dennoch von dem Kommunikationsnetzwerk getrennt werden kann .
In einer Ausführungsform ist vorgesehen, dass die Vorrichtung zum Überwachen eines an ein Stellwerk einer Eisenbahnbetriebsanlage über ein Kommunikationsnetzwerk eingehende Netzwerkverkehrs ausgebildet ist, das Verfahren zum Überwachen eines an ein Stellwerk einer Eisenbahnbetriebsanlage über ein Kommunikationsnetzwerk eingehenden Netzwerkverkehrs aus- oder durchzuführen.
In einer Ausführungsform ist vorgesehen, dass das Verfahren zum Überwachen eines an ein Stellwerk einer Eisenbahnbetriebsanlage über ein Kommunikationsnetzwerk eingehenden Netzwerkverkehrs mittels der Vorrichtung zum Überwachen eines an ein Stellwerk einer Eisenbahnbetriebsanlage über ein Kommunikationsnetzwerk eingehenden Netzwerkverkehrs aus- oder durchgeführt wird. Nach einem weiteren Aspekt ist eine Eisenbahnbetriebsanlage bereitgestellt, welche das Stellwerk und die Vorrichtung zum Überwachen eines an ein Stellwerk einer Eisenbahnbetriebsanlage über ein Kommunikationsnetzwerk eingehenden Netzwerkverkehrs umfasst.
Technische Funktionalitäten der Vorrichtung ergeben sich analog aus entsprechenden technischen Funktionalitäten des Verfahrens und umgekehrt. Das heißt also beispielsweise, dass sich Vorrichtungsmerkmal aus entsprechenden Verfahrensmerkmalen und umgekehrt ergeben
Nach einer Ausführungsform umfasst das Verfahren, dass das Mitlesen des über das Kommunikationsnetzwerk an das Stellwer eingehenden Netzwerkverkehrs mittels des Netzwerk-TAPs durch geführt wird.
Gemäß einer Ausführungsform des Verfahrens ist vorgesehen, dass der mitgelesene eingehende Netzwerkverkehr an den Pro¬ zessor ausgegeben wird, beispielsweise mittels des Netzwerk- TAPs .
Nach einer Ausführungsform des Verfahrens ist zum Prüfen des mitgelesenen eingehenden Netzwerkverkehrs vorgesehen, einen vom mitgelesenen eingehenden Netzwerkverkehr umfassten Kommandostrom auf unerlaubte Kommandos zu überprüfen und bei ei nem Erkennen eines unerlaubten Kommandos die Netztrenneinrichtung derart anzusteuern, dass die Netztrenneinrichtung das Stellwerk von dem Kommunikationsnetzwerk trennt.
In einer Ausführungsform des Verfahrens ist zum Überprüfen des Kommandostroms vorgesehen, dass Kommandos des Kommando¬ stroms mit Referenzkommandos einer Negativkommandoliste ver¬ glichen werden, um unerlaubte Kommandos zu erkennen.
In einer Ausführungsform des Verfahrens ist ein Protokollie¬ ren des mitgelesenen Netzwerkverkehrs vorgesehen.
In einer weiteren Ausführungsform des Verfahrens ist vorgese hen, dass das Stellwerk von dem Kommunikationsnetzwerk physisch getrennt wird.
In einer Ausführungsform des Verfahrens ist vorgesehen, dass das Stellwerk von dem Kommunikationsnetzwerk mittels der Netztrenneinrichtung physisch getrennt wird. Gemäß einer Ausführungsform des Verfahrens ist ein Einspeisen eines Testkommandos in den eingehenden Netzwerkverkehr vorgesehen, um den Prozessor zu testen, wobei bei Erkennung des Testkommandos mittels des Prozessors im Rahmen des Prüfens des mitgelesenen eingehenden Netzwerkstroms der Prozessor keine Ansteuerung der Netztrenneinrichtung derart durchführt, dass die Netztrenneinrichtung das Stellwerk von dem Kommunikationsnetzwerk trennt. In einer Ausführungsform des Verfahrens ist vorgesehen, dass der Prozessor bei Erkennung des Testkommandos im Rahmen des Prüfens des mitgelesenen eingehenden Netzwerkverkehrs eine Erfolgsnachricht an die Kommandoeinspeiseeinrichtung sendet, dass das Testkommando erkannt wurde, wobei die Kommandoein- Speiseeinrichtung bei Ausbleiben einer Erfolgsnachricht nach Einspeisen des Testkommandos die Netztrenneinrichtung derart ansteuert, dass die Netztrenneinrichtung das Stellwerk von dem Kommunikationsnetzwerk trennt. In einer Ausführungsform ist vorgesehen, dass die Kommandoeinspeiseeinrichtung ausgebildet ist, bei Ausbleiben der Erfolgsnachricht nach Einspeisen des Testkommandos nach Ablauf einer vorbestimmten Zeitdauer die Netztrenneinrichtung derart anzusteuern, dass die Netztrenneinrichtung das Stellwerk von dem Kommunikationsnetzwerk trennt.
Das heißt also insbesondere, dass nach dieser Ausführungsform vorgesehen ist, dass die Kommandoeinspeiseeinrichtung den Ablauf der vorbestimmten Zeitdauer abwartet nach Einspeisen des Testkommandos, bevor die Netztrenneinrichtung derart ange¬ steuert wird, dass die Netztrenneinrichtung das Stellwerk von dem Kommunikationsnetzwerk trennt, wenn die Erfolgsnachricht ausbleibt . Wie lange mit dem Trennen nach dem Ausbleiben der Erfolgsnachricht abgewartet wird, hängt beispielsweise von der Im¬ plementierung, also vom konkreten Einzelfall, ab. Wenn beispielsweise sichergestellt werden kann, dass innerhalb eines bestimmten Zeitintervalls (der vorbestimmten Zeitdauer) unter allen möglichen Betriebsbedingungen eine Antwort erfolgen müsste, ist gemäß einer Ausführungsform vorgesehen, dass die Netztrenneinrichtung unmittelbar nach Ablauf des bestimmten Zeitintervalls derart angesteuert wird, dass die
Netztrenneinrichtung das Stellwerk von dem Kommunikationsnetzwerk trennt, wenn die Erfolgsnachricht ausbleibt
Gemäß einer Ausführungsform ist vorgesehen, dass das Stell- werk über einen VPN-Router mit dem Kommunikationsnetzwerk verbunden ist respektive verbindbar ist.
Das heißt also insbesondere, dass gemäß einer Ausführungsform ein VPN-Router für eine Verbindung des Stellwerks mit dem Kommunikationsnetzwerk vorgesehen ist. Das Stellwerkt ist beispielsweise mit dem VPN-Router verbunden.
In einer Ausführungsform ist vorgesehen, dass der Netzwerk- TAP zwischen dem VPN-Router und dem Stellwerk geschaltet ist.
In einer Ausführungsform ist vorgesehen, dass ein Computer eines Kontrollzentrums der Eisenbahnbetriebsanlage über das Kommunikationsnetzwerk mit dem Stellwerk verbindbar ist respektive verbunden ist.
Das heißt also beispielsweise, dass gemäß einer Ausführungs¬ form ein Computer eines Kontrollzentrums der Eisenbahnbe¬ triebsanlage vorgesehen ist. In einer Ausführungsform ist vorgesehen, dass der Computer des Kontrollzentrums der Eisenbahnbetriebsanlage über einen weiteren VPN-Router mit dem Kommunikationsnetzwerk verbunden ist respektive verbindbar ist. Das heißt also insbesondere, dass gemäß einer Ausführungsform ein weiterer VPN-Router für eine Verbindung des Computers des Kontrollzentrums mit dem Kommunikationsnetzwerk vorgesehen ist. Der Computer ist beispielsweise mit dem weiteren VPN- Router verbunden.
Das Kommunikationsnetzwerk umfasst gemäß einer Ausführungs- form das Internet.
In einer Ausführungsform umfasst das Kommunikationsnetzwerk ein Mobilfunknetz. Der Computer des Kontrollzentrums ist gemäß einer Ausfüh¬ rungsform als eine Workstation, beispielsweise als eine Be- dien-Workstation, ausgebildet.
Über den Computer des Kontrollzentrums der Eisenbahnbetriebs- anläge wird beispielsweise oder kann beispielsweise vorgege¬ ben werden, welchen Zustand die Signale der Eisenbahnbe¬ triebsanlage aufweisen sollen respektive welchen Zustand res¬ pektive Position eine Weiche der Eisenbahnbetriebsanlage ha¬ ben soll respektive wird mittels des Computers eine Fahrt- freigäbe vorgegeben. Zu den möglichen Meldungen eines Stellwerks gehören u.a. Frei- und Belegtmeldungen von Gleisab¬ schnitten und/oder Flankenschutz von Weichen.
In einer Ausführungsform ist vorgesehen, dass der Kommando- ström in Form von PDS- und/oder SBS-Telegrammen übertragen wird .
Hierbei steht die Abkürzung "PDS" für "Prozess-Daten- Schnittstelle" .
Die Abkürzung "SBS" steht für "Standard-Bedien- Schnittstelle" .
In einer Ausführungsform ist vorgesehen, dass der Kommando- ström ein Kommandostrom eines der folgenden Netzwerkprotokolle ist: SSH, SFTP, SMB . Ein unerlaubtes Kommando im Sinne der Beschreibung ist bei¬ spielsweise eine Kommandofreigabe. Eine solche Kommandofrei¬ gabe bewirkt im Stellwerk ein Aufheben von Systemzuständen respektive ein Übersteuern des Stellwerks. Das heißt also insbesondere, dass es mit dem Kommando "Kommandofreigabe" er¬ möglicht ist, das Stellwerk zu übersteuern, um beispielsweise einen Zugbetrieb mit eingeschränkter Sicherheit fortführen zu können, sofern es beispielsweise eine Störung im Stellwerk gegeben hat, die zu einer Blockade geführt hat.
Ein Beispiel für eine solche Kommandofreigabe ist der Fall, dass, obwohl ein Signal „rot" anzeigt, ein Fahrbefehl an den Zugführer ausgegeben wird oder eine Einfahrt in einen Gleisabschnitt freigegeben wird, obwohl der Gleisabschnitt bereits als besetzt angezeigt wird. Dieser Fahrbefehl entspricht hier der Kommandofreigabe. Es wird also die Sicherheitsüberwachung außer Kraft gesetzt.
Ursachen für die Notwendigkeit einer solchen Kommandofreigabe sind beispielsweise defekte Gleisfreimeldungen, die von einem Bediener an einer Workstation mittels KF-Kommando (KF = Kommandofreigabe) gesondert kommandiert und im Stellwerk über¬ steuert werden. Gemäß einer Ausführungsform umfasst eine Vorrichtung zum
Überwachen eines an ein Stellwerk einer Eisenbahnbetriebsanlage über ein Kommunikationsnetzwerk eingehenden Netzwerkverkehrs das Stellwerk. In einer Ausführungsform umfasst eine Vorrichtung zum Überwachen eines an ein Stellwerk einer Eisenbahnbetriebsanlage über ein Kommunikationsnetzwerk eingehenden Netzwerkverkehrs nicht das Stellwerk. In einer Ausführungsform ist vorgesehen, dass nach Ablauf einer weiteren vorbestimmten Zeitdauer das Stellwerk wieder mit dem Kommunikationsnetzwerk verbunden wird. Bei Kommandoströmen gemäß PDS, SBS ist die weitere vorbestimmte Zeitdauer beispielsweise größer als 1 Minute, beispielsweise größer als 2 Minuten. Innerhalb dieser weiteren vorbestimmten Zeitdauer muss gemäß einer Ausführungsform eine KF Handlung abgeschlossen sein, ansonsten wird diese als ungültig erkannt.
Das heißt also beispielsweise, dass die Netztrenneinrichtung ausgebildet ist, nach Ablauf einer weiteren vorbestimmten Zeitdauer das Stellwerk wieder mit dem Kommunikationsnetzwerk zu verbinden.
Das heißt also beispielsweise, dass der Prozessor ausgebildet ist, die Netztrenneinrichtung nach Ablauf einer weiteren vorbestimmten Zeitdauer derart anzusteuern, dass diese das
Stellwerk mit dem Kommunikationsnetzwerk wieder verbindet.
Nach einer Ausführungsform ist vorgesehen, dass die
Netztrenneinrichtung ausgebildet ist, das Stellwerk reversibel von dem Kommunikationsnetzwerk zu trennen. In einer Ausführungsform ist vorgesehen, dass die
Netztrenneinrichtung ausgebildet ist, das Stellwerk irreversibel von dem Kommunikationsnetzwerk zu trennen.
Um also beispielsweise bei einer irreversiblen Trennung mit- tels der Netztrenneinrichtung das Stellwerk wieder mit dem
Kommunikationsnetzwerk zu verbinden, muss beispielsweise die Netztrenneinrichtung ausgetauscht werden.
Die Formulierung „respektive" umfasst insbesondere die Formu- lierung „und/oder".
Die oben beschriebenen Eigenschaften, Merkmale und Vorteile dieser Erfindung sowie die Art und Weise, wie diese erreicht werden, werden klarer und deutlicher verständlich im Zusam- menhang mit der folgenden Beschreibung der Ausführungsbeispiele, die im Zusammenhang mit den Zeichnungen näher erläutert werden, wobei FIG 1 eine erste Vorrichtung zum Überwachen eines an ein Stellwerk einer Eisenbahnbetriebsanlage über ein Kommunikati¬ onsnetzwerk eingehenden Netzwerkverkehrs, FIG 2 eine zweite Vorrichtung zum Überwachen eines an ein
Stellwerk einer Eisenbahnbetriebsanlage über ein Kommunikati¬ onsnetzwerk eingehenden Netzwerkverkehrs,
FIG 3 eine dritte Vorrichtung zum Überwachen eines an ein Stellwerk einer Eisenbahnbetriebsanlage über ein Kommunikati¬ onsnetzwerk eingehenden Netzwerkverkehrs und
FIG 4 ein Ablaufdiagramm eines Verfahrens zum Überwachen eines an ein Stellwerk einer Eisenbahnbetriebsanlage über ein Kommunikationsnetzwerk eingehenden Netzwerkverkehrs zeigen .
Im Folgenden können für gleiche Merkmale gleiche Bezugszei- chen verwendet werden.
FIG 1 zeigt eine erste Vorrichtung 101 zum Überwachen eines an ein Stellwerk einer Eisenbahnbetriebsanlage über ein Kommunikationsnetzwerk eingehenden Netzwerkverkehrs.
Die erste Vorrichtung 101 umfasst: einen Netzwerk-TAP 103 zum Mitlesen des über das Kommunikationsnetzwerk an das Stellwerk eingehenden Netzwerkverkehrs und zum Ausgeben des mitgelesenen eingehenden Netzwerkverkehrs an einen Prozessor 105 zum Prüfen des mitgelesenen eingehenden NetzWerkverkehrs ,
eine Netztrenneinrichtung 107 zum Trennen des Stellwerks von dem Kommunikationsnetzwerk,
wobei der Prozessor 105 ausgebildet ist, basierend auf einem Ergebnis des Prüfens des mitgelesenen eingehenden Netzwerkverkehrs die Netztrenneinrichtung 107 derart anzusteuern, dass die Netztrenneinrichtung 107 das Stellwerk von dem Kommunikationsnetzwerk trennt.
FIG 1 zeigt weiter ein Stellwerk 109 einer Eisenbahnbetriebs- anläge (nicht weiter im Detail gezeigt) , welches über einen VPN-Router 111 mit einem Kommunikationsnetzwerk 113 verbunden ist .
Das Kommunikationsnetzwerk 113 ist gemäß einer Ausführungs- form das Internet.
Weiter zeigt die FIG 1 eine Bedien-Workstation 115 eines hier nicht weiter gezeigten Kontrollzentrums der Eisenbahnbe¬ triebsanlage .
Die Bedien-Workstation 115 ist über einen weiteren VPN-Router 117 mit dem Kommunikationsnetzwerk 113 verbunden.
An dieser Stelle wird angemerkt, dass der weitere VPN-Router 117, das Internet als ein mögliches Kommunikationsnetzwerk
113 und der VPN-Router 111 gemäß einer Ausführungsform nicht zwingend erforderlich sind. Die Vorrichtung 101 ist gemäß ei¬ ner Ausführungsform im lokalen Netz eines Kunden installiert und muss also beispielsweise nicht zwingend über das Internet und VPN-Router an das Stellwerk 109 angebunden sein.
Der Netzwerk-TAP 103 ist zwischen dem VPN-Router 111 und dem Stellwerk 109 geschaltet. Weiter ist die Netztrenneinrichtung 107 zwischen dem Netzwerk-TAP 103 und dem Stellwerk 109 geschaltet.
Eine beispielhafte Funktionsweise der ersten Vorrichtung 101 wird nachfolgend beschrieben:
Der Netzwerk-TAP 103 liest einen Kommandostrom, der vom VPN- Router 111 an das Stellwerk 109 gesendet wird, mit und gibt den mitgelesenen Kommandostrom an den Prozessor 105 aus. Der Netzwerk-TAP 103 liest also den an das Stellwerk 109 eingehenden Netzwerkverkehr (Kommandostrom) mit.
Der Prozessor 105 überprüft den Kommandostrom, der gemäß ei- ner Ausführungsform in Form von PDS- und/oder SBS-Telegrammen übertragen wird, auf unerlaubte Kommandos respektive uner¬ laubte Kommandosequenzen respektive unerlaubte Kommandotypen, beispielsweise eine Kommandofreigabe. Erkennt der Prozessor 105 einen solchen Kommandotyp respekti¬ ve Kommandosequenz respektive ein unerlaubtes Kommando, steu¬ ert der Prozessor 105 die Netztrenneinrichtung 107 derart an, dass die Netztrenneinrichtung 107 die Netzwerkverbindung zwischen dem Netzwerk-TAP 103 und dem Stellwerk 109 trennt.
Dadurch wird das Stellwerk 109 von dem Kommunikationsnetzwerk 113 getrennt.
Üblicherweise ist es so, dass Bedienhandlungen, die unter Verwendung der Bedien-Workstation 115 vorgenommen werden und sich auf einen Zustand eines Eisenbahnabschnitts (nicht ge¬ zeigt) der Eisenbahnbetriebsanlage auswirken, durch das
Stellwerk 109, das für die Sicherheit die Verantwortung übernimmt, überwacht werden, bevor eine Änderung an Signalen respektive Fahrstraßen respektive Fahrtfreigaben stattfindet. Dies gilt üblicherweise für alle Kommandos bis auf die, die mit "Kommandofreigabe" bezeichnet werden. Solche Kommandos übersteuern das Stellwerk 109.
Durch das Vorsehen solcher „Kommandofreigaben" soll es im Fall einer Störung möglich sein, einen Zugbetrieb mit eingeschränkter Sicherheit fortzuführen und gegebenenfalls Systemzustände im Stellwerk 109 aufzuheben, die zu einer Blockade geführt haben. Dadurch können allerdings Sicherheitsfunktionen, die im
Stellwerk 109 eingebaut sind, umgangen werden, was eine erhöhte Gefährdung im Fall einer willentlichen oder unbeabsichtigten Fehlbedienung darstellen kann. Dies gilt beispielswei- se vor allem dann, wenn solche Kommandos über eine Fernbedie¬ nung willentlich oder unwillentlich ausgelöst werden können.
Da jedoch die Fernverbindung, also beispielsweise die Verbin- dung zwischen der Bedien-Workstation 115 und dem Stellwerk
109 lediglich für eine Lageüberwachung eingerichtet respekti¬ ve ausgebildet wird respektive ist und insbesondere nicht für eine Ausführung von Kommandofreigabebefehlen vorgesehen ist, gilt es zu verhindern, dass Kommandierungen des Typs "Komman- dofreigabe" entweder vollständig respektive mindestens deren Wirkung unterbunden werden. Hierbei ist insbesondere darauf zu achten, dass eine Überwachungseinrichtung nicht außer Funktion gesetzt wird. Im Zuge einer neuen Sicherheitsgesetzgebung werden hier hohe zusätzliche Schutzmaßnahmen und zur gleichen Zeit aber von Kundenseite neue Funktionalitäten eingefordert. Dieser Situa¬ tion von zwei sich widersprechenden Anforderungen wird mit dem erfindungsgemäßen Konzept Rechnung getragen.
Dies deshalb, da über den Netzwerk-TAP 103 der Kommandostrom, der beispielsweise von der Bedien-Workstation 115 über das Kommunikationsnetzwerk 113 an das Stellwerk 109 gesendet wird, mitgelesen und an den Prozessor 105 zwecks Prüfen aus- gegeben wird. Der Prozessor 105 kann somit in vorteilhafter Weise diesen Kommandostrom auf Kommandos des Typs "Kommando¬ freigabe" überprüfen und bei einer Erkennung eines solchen Kommandos die Netztrenneinrichtung 107 aktivieren. Dadurch wird also insbesondere der technische Vorteil be¬ wirkt, dass durch eine entsprechend willentliche oder unbeab¬ sichtigte Fehlbedienung keine erhöhte Gefährdung stattfindet, zumindest kann ein entsprechendes Risiko reduziert werden. Dadurch, dass der Netzwerk-TAP 103 im Netzwerk nicht sichtbar ist, kann dieser nicht angegriffen werden und gegebenenfalls außer Funktion gesetzt werden. Somit kann das Stellwerk 109 über das Kommunikationsnetzwerk 113 erreichbar sein, was beispielsweise von Kundenseite ein¬ gefordert wird. Zur gleichen Zeit werden aber auch hier von der neuen Sicherheitsgesetzgebung geforderte zusätzliche Schutzmaßnahmen effizient umgesetzt.
Somit können erfindungsgemäß zwei sich eigentlich widerspre- chende Anforderungen dennoch erfüllt werden.
FIG 2 zeigt eine zweite Vorrichtung 201 zum Überwachen eines an ein Stellwerk einer Eisenbahnbetriebsanlage über ein Kommunikationsnetzwerk eingehenden Netzwerkverkehrs.
Die zweite Vorrichtung 201 ist im Wesentlichen analog zur ersten Vorrichtung 101 gemäß FIG 1 ausgebildet.
Zusätzlich zu der Vorrichtung 101 gemäß FIG 1 umfasst die zweite Vorrichtung 201 eine Protokolleinrichtung 205 zum Protokollieren des mitgelesenen Netzwerkverkehrs.
Der Netzwerk-TAP 103 ist insofern ausgebildet, den mitgelese¬ nen Netzwerkverkehr an die Protokolleinrichtung 205 auszuge- ben.
Die weiteren in FIG 2 gezeigten Elemente und deren Funktions¬ weise sind identisch zu den in FIG 1 gezeigten Elementen respektive deren Funktionsweisen. Auf die vorstehend gemachten Ausführungen wird zur Vermeidung von Wiederholungen verwiesen .
Mittels der Protokolleinrichtung 205 ist es in vorteilhafter Weise ermöglicht, auch zu einem späteren Zeitpunkt nachweisen zu können, ob der Kommandostrom unerlaubte Kommandos umfass- te . Beispielsweise ist vorgesehen, dass die Protokolleinrichtung 205 ausgebildet ist, eine Trennung des Stellwerks 109 von dem Kommunikationsnetzwerk 113 zu protokollieren. Ein Protokollieren umfasst beispielsweise ein Speichern.
FIG 3 zeigt eine dritte Vorrichtung 301 zum Überwachen eines an ein Stellwerk einer Eisenbahnbetriebsanlage über ein Kommunikationsnetzwerk eingehenden Netzwerkverkehrs.
Die dritte Vorrichtung 301 ist im Wesentlichen analog zur zweiten Vorrichtung 201 gemäß FIG 2 ausgebildet.
Zusätzlich zu der in FIG 2 gezeigten zweiten Vorrichtung 201 umfasst die dritte Vorrichtung 301 gemäß FIG 3 noch eine Kom¬ mandoeinspeiseeinrichtung 303 zum Einspeisen eines Testkommandos in den eingehenden Netzwerkverkehr, um den Prozessor 105 zu testen. Gemäß dieser Ausführungsform ist der Prozessor 105 dann ausgebildet, bei Erkennung des Testkommandos im Rahmen des Prü¬ fens des mitgelesenen eingehenden Netzwerkverkehrs keine An- steuerung der Netztrenneinrichtung 107 derart durchzuführen, dass die Netztrenneinrichtung 107 das Stellwerk 109 von dem Kommunikationsnetzwerk 113 trennt.
In einer Ausführungsform ist vorgesehen, dass die dritte Vorrichtung 301 nicht die Protokolleinrichtung 205 umfasst. Gemäß dieser Ausführungsform ist dann die dritte Vorrichtung 301 im Wesentlichen analog zur ersten Vorrichtung 101 gemäß FIG 1 ausgebildet. Gemäß dieser Ausführungsform umfasst dann die dritte Vorrichtung 301 zusätzlich zu der in FIG 1 gezeigten ersten Vorrichtung 101 die Kommandoeinspeiseeinrichtung 303.
In einer Ausführungsform ist vorgesehen, dass der Prozessor 105 ausgebildet ist, bei Erkennung des Testkommandos im Rah¬ men des Prüfens des mitgelesenen eingehenden Netzwerkverkehrs eine Erfolgsnachricht an die Kommandoeinspeiseeinrichtung 303 zu senden, dass das Testkommando erkannt wurde, wobei die Kommandoeinspeiseeinrichtung 303 ausgebildet ist, bei Ausbleiben einer Erfolgsnachricht nach Einspeisen des Testkom- mandos, insbesondere bei Ausbleiben einer Erfolgsnachricht nach Einspeisen des Testkommandos nach Ablauf einer vorbe¬ stimmten Zeitdauer, beispielsweise maximal 3 s, die
Netztrenneinrichtung 107 derart anzusteuern, dass die
Netztrenneinrichtung 107 das Stellwerk 109 von dem Kommunika- tionsnetzwerk 113 trennt.
Gemäß einer Ausführungsform umfasst eine Vorrichtung zum Überwachen eines an ein Stellwerk einer Eisenbahnbetriebsanlage über ein Kommunikationsnetzwerk eingehenden Netzwerkver- kehrs das Stellwerk.
In einer Ausführungsform umfasst eine Vorrichtung zum Überwachen eines an ein Stellwerk einer Eisenbahnbetriebsanlage über ein Kommunikationsnetzwerk eingehenden Netzwerkverkehrs nicht das Stellwerk.
FIG 4 zeigt ein Ablaufdiagramm eines Verfahrens zum Überwa¬ chen eines an ein Stellwerk einer Eisenbahnbetriebsanlage über ein Kommunikationsnetzwerk eingehenden Netzwerkverkehrs, umfassend die folgenden Schritte:
Mitlesen 401 des über das Kommunikationsnetzwerk an das
Stellwerk eingehenden Netzwerkverkehrs,
Prüfen 403 des mitgelesenen eingehenden Netzwerkverkehrs, Trennen 405 des Stellwerks von dem Kommunikationsnetzwerk ba- sierend auf einem Ergebnis des Prüfens des mitgelesenen ein¬ gehenden Netzwerkverkehrs.
Nach einer Ausführungsform ist vorgesehen, dass das in FIG 4 gezeigte und beschriebene Verfahren mittels einer der drei Vorrichtungen 101, 201, 303 durch- oder ausgeführt wird.
Das heißt also beispielsweise, dass das Mitlesen 401 mittels des Netzwerk-TAPs 103 durchgeführt wird. Der Netzwerk-TAP 103 gibt beispielsweise den mitgelesenen Netzwerkverkehr an den Prozessor 105 aus.
Das Prüfen 403 wird beispielsweise mittels des Prozessors 105 durchgeführt .
Das Trennen 405 wird beispielsweise mittels der Netztrennein¬ richtung 107 durchgeführt. Hierfür steuert der Prozessor 105 die Netztrenneinrichtung 107 entsprechend an.
In einer Ausführungsform ist vorgesehen, dass nach Ablauf einer vorbestimmten Zeitdauer das Stellwerk 109 wieder mit dem Kommunikationsnetzwerk 113 verbunden wird.
Das heißt also beispielsweise, dass die Netztrenneinrichtung 107 ausgebildet ist, nach Ablauf einer vorbestimmten Zeitdau¬ er das Stellwerk 109 wieder mit dem Kommunikationsnetzwerk 113 zu verbinden.
Das heißt also beispielsweise, dass der Prozessor 105 ausge¬ bildet ist, nach Ablauf einer vorbestimmten Zeitdauer das Stellwerk 109 mit dem Kommunikationsnetzwerk 113 zu verbinden .
Nach einer Ausführungsform ist vorgesehen, dass die
Netztrenneinrichtung 107 ausgebildet ist, das Stellwerk 109 reversibel von dem Kommunikationsnetzwerk 113 zu trennen.
In einer Ausführungsform ist vorgesehen, dass die
Netztrenneinrichtung 107 ausgebildet ist, das Stellwerk 109 irreversibel von dem Kommunikationsnetzwerk 113 zu trennen.
Obwohl die Erfindung im Detail durch die bevorzugten Ausführungsbeispiele näher illustriert und beschrieben wurde, so ist die Erfindung nicht durch die offenbarten Beispiele eingeschränkt und andere Variationen können vom Fachmann hieraus abgeleitet werden, ohne den Schutzumfang der Erfindung zu verlassen .

Claims

Patentansprüche
1. Vorrichtung (101, 201, 301) zum Überwachen eines an ein Stellwerk (109) einer Eisenbahnbetriebsanlage über ein Kommu- nikationsnetzwerk eingehenden Netzwerkverkehrs, umfassend: einen Netzwerk-TAP (103) zum Mitlesen des über das Kommunikationsnetzwerk (113) an das Stellwerk (109) eingehenden Netzwerkverkehrs und zum Ausgeben des mitgelesenen eingehenden Netzwerkverkehrs an einen Prozessor (105) zum Prüfen des mit- gelesenen eingehenden Netzwerkverkehrs,
eine Netztrenneinrichtung (107) zum Trennen des Stellwerks (109) von dem Kommunikationsnetzwerk (113),
wobei der Prozessor (105) ausgebildet ist, basierend auf ei¬ nem Ergebnis des Prüfens des mitgelesenen eingehenden Netz- Werkverkehrs die Netztrenneinrichtung (107) derart anzusteu¬ ern, dass die Netztrenneinrichtung (107) das Stellwerk (109) von dem Kommunikationsnetzwerk (113) trennt.
2. Vorrichtung (101, 201, 301) nach Anspruch 1, wobei der Prozessor (105) zum Prüfen des mitgelesenen eingehenden Netzwerkverkehrs ausgebildet ist, einen vom mitgelesenen einge¬ henden Netzwerkverkehr umfassten Kommandostrom auf unerlaubte Kommandos zu überprüfen und bei einem Erkennen eines unerlaubten Kommandos die Netztrenneinrichtung (107) derart anzu- steuern, dass die Netztrenneinrichtung (107) das Stellwerk (109) von dem Kommunikationsnetzwerk (113) trennt.
3. Vorrichtung (101, 201, 301) nach Anspruch 2, wobei der Prozessor (105) zum Überprüfen des Kommandostroms ausgebildet ist, Kommandos des Kommandostroms mit Referenzkommandos einer Negativkommandoliste zu vergleichen, um unerlaubte Kommandos zu erkennen.
4. Vorrichtung (101, 201, 301) nach einem der vorherigen An- Sprüche, umfassend eine Protokolleinrichtung (205) zum Proto¬ kollieren des mitgelesenen Netzwerkverkehrs.
5. Vorrichtung (101, 201, 301) nach einem der vorherigen Ansprüche, wobei die Netztrenneinrichtung (107) ausgebildet ist, das Stellwerk (109) von dem Kommunikationsnetzwerk (113) physisch zu trennen.
6. Vorrichtung (101, 201, 301) nach einem der vorherigen Ansprüche, umfassend eine Kommandoeinspeiseeinrichtung (303) zum Einspeisen eines Testkommandos in den eingehenden Netzwerkverkehr, um den Prozessor (105) zu testen, wobei der Pro- zessor (105) ausgebildet ist, bei Erkennung des Testkommandos im Rahmen des Prüfens des mitgelesenen eingehenden Netzwerkverkehrs keine Ansteuerung der Netztrenneinrichtung (107) derart durchzuführen, dass die Netztrenneinrichtung (107) das Stellwerk (109) von dem Kommunikationsnetzwerk (113) trennt.
7. Vorrichtung (101, 201, 301) nach Anspruch 6, wobei der Prozessor (105) ausgebildet ist, bei Erkennung des Testkom¬ mandos im Rahmen des Prüfens des mitgelesenen eingehenden Netzwerkverkehrs eine Erfolgsnachricht an die Kommandoein- Speiseeinrichtung (303) zu senden, dass das Testkommando er¬ kannt wurde, wobei die Kommandoeinspeiseeinrichtung (303) ausgebildet ist, bei Ausbleiben einer Erfolgsnachricht nach Einspeisen des Testkommandos die Netztrenneinrichtung (107) derart anzusteuern, dass die Netztrenneinrichtung (107) das Stellwerk (109) von dem Kommunikationsnetzwerk (113) trennt.
8. Verfahren zum Überwachen eines an ein Stellwerk (109) einer Eisenbahnbetriebsanlage über ein Kommunikationsnetzwerk (113) eingehenden Netzwerkverkehrs, umfassend die folgenden Schritte:
Mitlesen (401) des über das Kommunikationsnetzwerk (113) an das Stellwerk (109) eingehenden Netzwerkverkehrs,
Prüfen (403) des mitgelesenen eingehenden Netzwerkverkehrs, Trennen (405) des Stellwerks (109) von dem Kommunikations- netzwerk (113) basierend auf einem Ergebnis des Prüfens des mitgelesenen eingehenden Netzwerkverkehrs.
9. Verfahren nach Anspruch 8, wobei nach einem Trennen des Stellwerks (109) von dem Kommunikationsnetzwerk (113) das Stellwerk (109) nach Ablauf einer weiteren vorbestimmten Zeitdauer wieder mit dem Kommunikationsnetzwerk (113) verbun- den wird.
10. Computerprogramm, umfassend Programmcode zur Durchführung des Verfahrens nach Anspruch 8 oder 9, wenn das Computerpro¬ gramm auf einem Computer ausgeführt wird.
EP18781963.6A 2017-09-29 2018-09-06 Konzept zum überwachen eines an ein stellwerk eingehenden netzwerkverkehrs Active EP3661830B1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
PL18781963T PL3661830T3 (pl) 2017-09-29 2018-09-06 Koncepcja do monitorowania ruchu sieciowego nadchodzącego do nastawni

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102017217422.6A DE102017217422A1 (de) 2017-09-29 2017-09-29 Konzept zum Überwachen eines an ein Stellwerk eingehenden Netzwerkverkehrs
PCT/EP2018/073989 WO2019063259A1 (de) 2017-09-29 2018-09-06 Konzept zum überwachen eines an ein stellwerk eingehenden netzwerkverkehrs

Publications (2)

Publication Number Publication Date
EP3661830A1 true EP3661830A1 (de) 2020-06-10
EP3661830B1 EP3661830B1 (de) 2021-11-10

Family

ID=63722341

Family Applications (1)

Application Number Title Priority Date Filing Date
EP18781963.6A Active EP3661830B1 (de) 2017-09-29 2018-09-06 Konzept zum überwachen eines an ein stellwerk eingehenden netzwerkverkehrs

Country Status (8)

Country Link
US (1) US20200236028A1 (de)
EP (1) EP3661830B1 (de)
CN (1) CN111163992A (de)
DE (1) DE102017217422A1 (de)
ES (1) ES2905641T3 (de)
HU (1) HUE057844T2 (de)
PL (1) PL3661830T3 (de)
WO (1) WO2019063259A1 (de)

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100531051C (zh) * 2006-03-13 2009-08-19 华为技术有限公司 通信网络及终端业务与网络分离的实现方法
US8831011B1 (en) * 2006-04-13 2014-09-09 Xceedium, Inc. Point to multi-point connections
ES2354632T3 (es) * 2006-06-03 2011-03-16 B. BRAUN MEDIZINELEKTRONIK GMBH & CO. KG Dispositivo y procedimiento para la protección de un aparato médico y de un paciente tratado con dicho aparato, contra influencias peligrosas procedentes de una red de comunicaciones.
KR20100027104A (ko) * 2007-04-05 2010-03-10 인터내셔널 비지네스 머신즈 코포레이션 방화벽을 구축하는 방법, 시스템 및 컴퓨터 프로그램
CN101729592B (zh) * 2008-10-29 2013-08-07 中国移动通信集团公司 一种分布式通信网络、设备及通信网络分离方法
US8248958B1 (en) * 2009-12-09 2012-08-21 Juniper Networks, Inc. Remote validation of network device configuration using a device management protocol for remote packet injection
CN201584766U (zh) * 2009-12-11 2010-09-15 谢树奎 Adsl调制解调器保护器
DE102013219698A1 (de) * 2013-09-30 2015-04-02 Siemens Aktiengesellschaft Filtern eines Datenpaketes durch eine Netzwerkfiltereinrichtung
DE102015201278B4 (de) * 2015-01-26 2016-09-29 Continental Automotive Gmbh Steuersystem

Also Published As

Publication number Publication date
WO2019063259A1 (de) 2019-04-04
PL3661830T3 (pl) 2022-03-14
CN111163992A (zh) 2020-05-15
HUE057844T2 (hu) 2022-06-28
EP3661830B1 (de) 2021-11-10
DE102017217422A1 (de) 2019-04-04
US20200236028A1 (en) 2020-07-23
ES2905641T3 (es) 2022-04-11

Similar Documents

Publication Publication Date Title
EP1062787B1 (de) Lokales netzwerk, insbesondere ethernet-netzwerk, mit redundanzeigenschaften sowie redundanzmanager
DE19952527C2 (de) Verfahren und Transaktionsinterface zum gesicherten Datenaustausch zwischen unterscheidbaren Netzen
EP3001884B1 (de) Verfahren, vorrichtung und system zur überwachung einer sicherheits-netzübergangseinheit
EP2866387A1 (de) Bussystem und Verfahren zum Betreiben eines solchen Bussystems
EP3295645B1 (de) Verfahren und anordnung zur rückwirkungsfreien übertragung von daten zwischen netzwerken
WO2018162176A1 (de) Verfahren und vorrichtungen zur übertragung von daten zwischen einem ersten netz und einem zweiten netz eines schienenfahrzeugs
DE102011086726B4 (de) Verfahren zur redundanten Kommunikation zwischen einem Nutzer-Terminal und einem Leitsystem-Server
EP3122016B1 (de) Automatisierungsnetzwerk und verfahren zur überwachung der sicherheit der übertragung von datenpaketen
EP3028409B1 (de) Filtern eines datenpaketes durch eine netzwerkfiltereinrichtung
EP1862931B1 (de) Vorrichtung und Verfahren zum Schutz eines medizinischen Geräts und eines von diesem Gerät behandelten Patienten vor gefährdenden Einflüssen aus einem Kommunikationsnetzwerk
EP3661830A1 (de) Konzept zum überwachen eines an ein stellwerk eingehenden netzwerkverkehrs
EP1104609A2 (de) Bussystem
DE202015004439U1 (de) Überwachungsvorrichtung und Netzwerkteilnehmer
EP1675342B1 (de) Vorrichtung und Verfahren zur sicheren Fehlerbehandlung in geschützten Kommunikationsnetzen
WO2015062812A1 (de) Sicherheitsrelevantes system mit supervisor
EP3957033B1 (de) Rechenanlage und verfahren zum betreiben einer rechenanlage
EP4300883A1 (de) Netzwerkadapter geeignet zum unterstützen eines berechtigten sendens und/oder empfangens von daten
WO2014191179A1 (de) Verfahren und vorrichtung zum filtern eines datenpaketes
DE10207527A1 (de) Lokales Netzwerk, insbesondere Ethernet-Netzwerk, mit Redundanzeigenschaften sowie Koppelgerät für ein derartiges Netzwerk
EP3607437B1 (de) Verfahren zum konfigurieren zumindest eines geräts eines schienenfahrzeugs in einem netzwerk, computerprogramm und computerlesbares speichermedium
LU501035B1 (de) Verfahren und System zum Absichern des Austausches von Daten in einem Netzwerksystem für industrielle Steuerungen
WO2013034188A1 (de) Verfahren zum betreiben einer netzwerkkomponente in einem kommunikationsnetzwerk und netzwerkkomponente
EP3603011B1 (de) Vorrichtungen und verfahren zum betreiben einer mobilfunkkommunikation mit einer streckenseitigen einrichtung
AT526785A4 (de) Vorrichtung zum anlassbezogenen Unterbrechen einer zwei Netzwerkschnittstellen verbindenden Signalleitung
DE102021133657A1 (de) Verfahren und System zum Absichern des Austausches von Daten in einem Netzwerksystem für industrielle Steuerungen

Legal Events

Date Code Title Description
STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: UNKNOWN

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE INTERNATIONAL PUBLICATION HAS BEEN MADE

PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: REQUEST FOR EXAMINATION WAS MADE

17P Request for examination filed

Effective date: 20200303

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

AX Request for extension of the european patent

Extension state: BA ME

DAV Request for validation of the european patent (deleted)
DAX Request for extension of the european patent (deleted)
REG Reference to a national code

Ref country code: DE

Ref legal event code: R079

Ref document number: 502018007815

Country of ref document: DE

Free format text: PREVIOUS MAIN CLASS: B61L0027000000

Ipc: H04L0012260000

GRAP Despatch of communication of intention to grant a patent

Free format text: ORIGINAL CODE: EPIDOSNIGR1

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: GRANT OF PATENT IS INTENDED

RIC1 Information provided on ipc code assigned before grant

Ipc: H04L 12/26 20060101AFI20210517BHEP

Ipc: B61L 19/06 20060101ALI20210517BHEP

Ipc: B61L 27/00 20060101ALI20210517BHEP

INTG Intention to grant announced

Effective date: 20210602

GRAS Grant fee paid

Free format text: ORIGINAL CODE: EPIDOSNIGR3

GRAA (expected) grant

Free format text: ORIGINAL CODE: 0009210

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE PATENT HAS BEEN GRANTED

AK Designated contracting states

Kind code of ref document: B1

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

REG Reference to a national code

Ref country code: GB

Ref legal event code: FG4D

Free format text: NOT ENGLISH

REG Reference to a national code

Ref country code: AT

Ref legal event code: REF

Ref document number: 1447084

Country of ref document: AT

Kind code of ref document: T

Effective date: 20211115

Ref country code: CH

Ref legal event code: EP

REG Reference to a national code

Ref country code: DE

Ref legal event code: R079

Ref document number: 502018007815

Country of ref document: DE

Free format text: PREVIOUS MAIN CLASS: H04L0012260000

Ipc: H04L0043000000

REG Reference to a national code

Ref country code: DE

Ref legal event code: R096

Ref document number: 502018007815

Country of ref document: DE

REG Reference to a national code

Ref country code: IE

Ref legal event code: FG4D

Free format text: LANGUAGE OF EP DOCUMENT: GERMAN

REG Reference to a national code

Ref country code: NL

Ref legal event code: FP

REG Reference to a national code

Ref country code: LT

Ref legal event code: MG9D

REG Reference to a national code

Ref country code: ES

Ref legal event code: FG2A

Ref document number: 2905641

Country of ref document: ES

Kind code of ref document: T3

Effective date: 20220411

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: RS

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20211110

Ref country code: LT

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20211110

Ref country code: FI

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20211110

Ref country code: BG

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20220210

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: IS

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20220310

Ref country code: SE

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20211110

Ref country code: PT

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20220310

Ref country code: NO

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20220210

Ref country code: LV

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20211110

Ref country code: HR

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20211110

Ref country code: GR

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20220211

REG Reference to a national code

Ref country code: HU

Ref legal event code: AG4A

Ref document number: E057844

Country of ref document: HU

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: SM

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20211110

Ref country code: SK

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20211110

Ref country code: RO

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20211110

Ref country code: EE

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20211110

Ref country code: DK

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20211110

Ref country code: CZ

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20211110

REG Reference to a national code

Ref country code: DE

Ref legal event code: R097

Ref document number: 502018007815

Country of ref document: DE

PLBE No opposition filed within time limit

Free format text: ORIGINAL CODE: 0009261

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: NO OPPOSITION FILED WITHIN TIME LIMIT

26N No opposition filed

Effective date: 20220811

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: AL

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20211110

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: SI

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20211110

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: MC

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20211110

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: LU

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20220906

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: IE

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20220906

Ref country code: FR

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20220930

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: CY

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20211110

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: MK

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20211110

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: MT

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20211110

REG Reference to a national code

Ref country code: DE

Ref legal event code: R081

Ref document number: 502018007815

Country of ref document: DE

Owner name: SIEMENS MOBILITY GMBH, DE

Free format text: FORMER OWNER: SIEMENS MOBILITY GMBH, 81739 MUENCHEN, DE

PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: PL

Payment date: 20250828

Year of fee payment: 8

Ref country code: IT

Payment date: 20250924

Year of fee payment: 8

Ref country code: NL

Payment date: 20250902

Year of fee payment: 8

PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: BE

Payment date: 20250918

Year of fee payment: 8

PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: AT

Payment date: 20250818

Year of fee payment: 8

REG Reference to a national code

Ref country code: CH

Ref legal event code: U11

Free format text: ST27 STATUS EVENT CODE: U-0-0-U10-U11 (AS PROVIDED BY THE NATIONAL OFFICE)

Effective date: 20251210

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: TR

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20211110

PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: HU

Payment date: 20251121

Year of fee payment: 8

PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: DE

Payment date: 20251120

Year of fee payment: 8

PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: GB

Payment date: 20251002

Year of fee payment: 8

PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: CH

Payment date: 20251210

Year of fee payment: 8

PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: ES

Payment date: 20251219

Year of fee payment: 8